一.telnet 管理端口保护(强制)
1修改端口默认的8005管理端口(大于1024)
2修改SHUTDOWN指令为其他字符串
备注。建议配置,按照实际情况合理配置,要求端口配置在8000-8999之间
二 ajp连接端口保护(推荐)
1.修改默认的ajp8009端口为不易冲突的大于1024端口
2通过iptables规则限制ajp端口访问的权限仅为线上机器
3.可以<!-- 禁用,前提是不做Apache加tomcat
三。禁用管理端(强制)
1.删除默认的Tomcat安装目录/conf/tomcat-users.xml文件,重启tomcat后将会自动生成新的文件(server status显示的那个实验)
2.删除Tomcat安装目录/webapps 下默认的所有目录和文件 (里面都是帮助书册)
3.将tomcat应用根目录配置为tomcat安装目录以外的目录(/web/webapps )
四。降权启动(强制)
用root用户搭建tomcat,进程是以root身份产生的
黑客可以通过这个进程来进入root身份
首先关闭tomcat
[root@localhost ~]# useradd tomcat
[root@localhost ~]# cp -a /usr/local/tomcat8/ /home/tomcat/tomcat8_1
-a 是全都复制
[root@localhost ~]# chown -R tomcat:tomcat /home/tomcat/tomcat8_1
[root@localhost ~]# su -c '/home/tomcat/tomcat8_1/bin/startup.sh' tomcat
ps aux |grep java 查看用户
五。文件列表访问控制(强制)
1 conf/web.xml文件中default部分listings的配置必须为false; (默认的)
六。启停脚本权限回收(推荐)
去除其他用户到tomcat的bin目录下shutdown.sh 。startup.sh 。catalina.sh 可执行权限
chmod -R 744 tomcat/bin/*